EDÖB hadert mit systemischen Risiken und kritisiert öffentlichkeitsscheue Behörden
156-mal hat der Eidgenössische Datenschutz– und Öffentlichkeitsbeauftragte im vergangenen Geschäftsjahr interveniert. Im Tätigkeitsbericht wünscht er sich einen besseren Umgang mit systemischen Risiken und geht auf Herausforderungen im Zusammenhang mit KI ein.
Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat zu tun. Im vergangenen Geschäftsjahr (1. April 2025 bis 31. März 2026) gingen bei der von Adrian Lobsiger geführten Behörde über 2000 Meldungen möglicher Datenschutzverletzungen ein, wie es in einer Mitteilung zum frisch veröffentlichten Tätigkeitsbericht heisst. Der EDÖB intervenierte 156-mal gegenüber den Verantwortlichen und führte 22 Vorabklärungen und 9 Untersuchungen durch.
In den meisten Fällen sei eine einvernehmliche Lösung gelungen, schreibt der EDÖB. Wo dies nicht möglich war, musste er die Einstellung beanstandeter Personendatenbearbeitungen verfügen; dagegen wiederum beschwerten sich einige Unternehmen beim Bundesverwaltungsgericht. Im Bericht erwähnt der Beauftragte entsprechende noch hängige Verfahren etwa in Zusammenhang mit Postfinance oder Inkasso-Team. In einem Fall reichte der EDÖB Strafanzeige gegen ein privates Unternehmen ein, das die gesetzlich vorgeschriebene Mitwirkung verweigerte.
Umgekehrt würdigt der Beauftragte ein Urteil des Bundesverwaltungsgerichts vom Oktober 2025. Das Gericht erklärte damit eine Verfügung des EDÖB gegen den Verein Bürgerforum Schweiz für gültig. Im Verfahren ging es um ein vom Verein betriebenes Portal namens "Pfarrer-Check", auf dem die Organisation Kontaktangaben und andere Informationen über Pfarrpersonen sammelte und veröffentlichte. Der EDÖB wies den Verein an, diese Einträge zu löschen, sofern die betroffenen Personen nicht ausdrücklich in die Veröffentlichung ihrer Personendaten eingewilligt hatten.
In der Mitteilung bezeichnet der Beauftragte dieses Gerichtsurteil als Meilenstein. Dies, weil es sich um "das erste rechtskräftige Urteil" nach Inkrafttreten des revidierten Datenschutzgesetzes (DSG) handelt. Das Bundesverwaltungsgericht habe "die Verfügungspraxis des EDÖB bestätigt und damit die Rechtssicherheit nach der DSG-Revision gestärkt", erklärt die Behörde.
Systemische Risiken ausweisen
306 mal beteiligte sich der EDÖB an einer Ämterkonsultation. Dabei nahm er Stellung zu Rechtsetzungsprojekten der Bundesverwaltung und begleitete die damit verbundenen digitalen Grossvorhaben aufsichtsrechtlich, wie es in der Mitteilung heisst. Unter anderem befasste sich der EDÖB mit der landesweiten Einführung des elektronischen Rechtsverkehrs in der Justiz und in den Sozialversicherungen, der Abfrageplattform für die Polizei, der elektronischen Briefpost oder dem Authentifizierungsdienst Agov und der E-ID.
In der Mitteilung lobt der Beauftragte die hohe Bereitschaft der Bundesstellen, die Risiken der Informationssicherheit - wie Datenlecks oder unautorisierte Zugriffe - und die entsprechenden Massnahmen zu deren Senkung auszuweisen.
Als Herausforderung beschreibt er dagegen das Ausweisen der mit digitalen Grossvorhaben verbundenen Datenschutzrisiken. "Die Verantwortlichen entsprechender Projekte tun sich immer noch schwer damit, systemische Datenschutzrisiken auszuweisen, die sich aus dem planmässigen Betrieb neuer Applikationen ergeben", heisst es im Bericht. Das liege in der Regel nicht am Mangel an datenschutzrechtlichen Kenntnissen, sondern oft an "Führungskulturen, die gegenüber den obersten politischen oder betrieblichen Organen die Thematisierung von Risiken vermeidet. Dies, obwohl die Ausweisung von Restrisiken vom Gesetzgeber gewünscht wird; besonders wenn sie hoch ausfallen."
Liessen sich Bundesämter nicht dazu bewegen, Restrisiken anzuerkennen, müsse der EDÖB darauf bestehen, die mit ihm verbliebenen Differenzen gegenüber Bundesrat und Parlament auszuweisen, erklärt der Beauftragte. Ansonsten würden diese politischen Organe Gefahr laufen, hohe Restrisiken digitaler Grossprojekte unbewusst zu verantworten.
KI-Überwachung als Herausforderung
Als weitere aktuelle Herausforderung nennt der EDÖB Systeme zur Überwachung, etwa von Patienten, Passagieren, Kindern und Senioren. Was deren Sensoren messen, wird immer häufiger von künstlicher Intelligenz (KI) ausgewertet. So könnten die Geräte automatisiert Auffälligkeiten erkennen und Alarme auslösen, sodass direkt zugeschaltete, künstliche oder menschliche Intelligenzen präventiv oder reaktiv auf die vor Ort beobachteten Situationen Einfluss nehmen könnten, erklärt die Behörde.
Bundesämter müssen schon früh im Beschaffungsprozess solcher Systeme datenschutzrelevante Risiken evaluieren. Dabei gehe es oft um die Konfigurierbarkeit von Programmen, die es "dem verantwortlichen Bundesorgan erlauben, die technisch machbare Intensität der Datenbearbeitung auf ein mit seinen gesetzlichen Aufgaben vereinbares Mass zu senken".
Aber auch Private müssten sich frühzeitig mit Risiken in Zusammenhang mit dem Datenschutz befassen, stellt der Beauftragte klar. In der Verantwortung sieht der EDÖB nicht nur private Spitäler, Kinderkrippen oder Seniorenresidenzen, sondern auch Ladenbesitzer, die etwa mit neuen Systemen ihre Laufkundschaft beobachten wollen.
Wer sich nicht frühzeitig mit der Datenschutzkonformität solcher Überwachungssysteme befasst, riskiere böse Überraschungen, hält der EDÖB fest und fügt hinzu: "Datenschutzrechtlich gebotene Anpassungen können bis zu Neubeschaffungen reichen und entsprechende finanzielle Mehrkosten und Reputationsschäden nach sich ziehen."
Im Tätigkeitsbericht widmet die Behörde dem Thema KI ein Schwerpunktkapitel. Sie erinnert daran, dass das DSG technologieneutral formuliert ist und demzufolge direkt auf KI-gestützte Datenbearbeitungen Anwendung finde. Unter anderem beteiligte sich der EDÖB an den Vorbereitungsarbeiten zur Einführung von KI-Assistenzsystemen der Bundeskanzlei und des Bundesamts für Informatik (BIT). Im privaten Umfeld nahm er die KI-Trainingspläne des Kurznachrichtendienstes X unter die Lupe. Ausserdem startete er eine aktuell noch laufende Untersuchung gegen eine Schweizer Firma, welche Identitätsprüfungen und KI-basierte Altersnachweise anbietet. Das Unternehmen verwende die für die Identitätsprüfung erhobenen biometrischen Daten zur Schulung ihrer KI. "Gegenstand der Untersuchung ist die Vereinbarkeit der KI-gestützten Datenbearbeitungen mit den Grundsätzen der Transparenz, Verhältnismässigkeit, Treu und Glauben, Zweckbindung sowie die Umsetzung der Betroffenenrechte", schreibt der Beauftragte.
Schliesslich erinnert er im Schwerpunktkapitel an die Risiken und Gefahren in Zusammenhang mit smarten Brillen. Unter anderem führte er im Berichtsjahr eine Vorabklärung gegen Meta durch. Laut Medienberichten plane das Unternehmen die Einführung einer Gesichtserkennungsfunktion, mit der Personen anhand von Bildern und Informationen identifiziert werden könnten, die über sie auf den Plattformen von Meta wie Instagram oder Facebook verfügbar seien, erklärt der Beauftragte. Meta habe der Behörde allerdings versichert, ein entsprechendes Feature in der Schweiz vorerst nicht einzuführen und auch keine Daten von Nutzenden aus der Schweiz an den Auftragsdatenbearbeiter in Kenia zu senden.
Ausgehöhltes Öffentlichkeitsprinzip
Seit 20 Jahren ist das Bundesgesetz über das Öffentlichkeitsprinzip der Verwaltung (BGÖ) in Kraft - und es stösst auf immer grösseres Interesse. Im Tätigkeitsbericht merkt der EDÖB an, dass sich die Anzahl der jährlichen Gesuche in den vergangenen 10 Jahren mehr als verdreifacht habe. Sowohl für den Öffentlichkeitsbeauftragten als auch für die angefragten Bundesstellen steigt damit der Arbeitsaufwand.
"Unter dem Eindruck dieser Last suchen manche Ämter, eigene Gesetzgebungsprojekte zu nutzen, um ihre Tätigkeit vom Geltungsbereich des BGÖ auszunehmen", kritisiert Lobsiger im Tätigkeitsbericht. 13 Geltungslücken bestünden bereits, 11 weitere seien in Planung, merkt er im Bericht an.
Selbstverständlich stehe es der Bundesversammlung frei, den Paradigmenwechsel zum Öffentlichkeitsprinzip teilweise rückgängig zu machen. Aber: "Solange der heutige Gesetzgeber indessen keine Absichten zu einer prinzipiellen Abkehr vom Öffentlichkeitsprinzip manifestiert, werde ich mich in den Ämterkonsultationen weiterhin gegen neue Geltungslücken aussprechen und dafür sorgen, dass meine Argumente in den Anträgen an den Bundesrat und in den Gesetzesbotschaften an das Parlament ausgewiesen sind."
Zu den Erfolgen des EDÖB zählt die Revision des Fernmeldegesetzes (FMG). Darin sollten "Informationen über sämtliche Anlagen und Vorrichtungen, die dazu bestimmt sind, den Fernmeldeverkehr oder den Rundfunk zu stören, vom Öffentlichkeitsprinzip ausgenommen werden", wie es im Tätigkeitsbericht heisst. Im Rahmen der Ämterkonsultation lehnte der EDÖB diese Pläne ab. Schliesslich wurde dieser Ausschluss aus der Vernehmlassungsvorlage gestrichen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
KI im Kampf gegen Verbrechen
Batman? Den braucht die Polizei nicht, wenn sie ChatGPT hat!
Bakom verstärkt Schutz gegen verdächtige Handyanrufe
Die E-ID kommt später als geplant
Wie KI zur schnelleren Diebstahlerkennung beitragen kann
Russlands GPS-Störungen betreffen User am Boden, in der Luft und im Orbit
Sunrise lanciert Cyberversicherungen für KMUs
Update: Nachrichtendienstgesetz nimmt erste Hürde im Ständerat
Whatsapp schützt Telefonnummern künftig mit Benutzernamen